In relatie tot (web)applicaties worden we regelmatig geconfronteerd met het onderwerp 'beveiliging'. Als het gaat om het beoordelen van de beveiliging van (web)applicaties komen we standaarden tegen als: ISO27001, ISO27002, ISAE 3402, OWASP, SOC2 en Data Pro Code. Tel hierbij op termen als Injection, SQL-injectie en Cross-Site Scripting (XSS) en menig lezer haakt al snel af.
Aanleiding voor Gerard Bottemanne van Onderzoeksbureau GBNED om in eerste instantie voor zich zelf op eens rij te zetten welke standaarden en normen op het gebied van het beoordelen van beveiliging van (web)applicaties en IT-organisaties gebruikt worden en wat deze betekenen. Uiteindelijk heeft Gerard, met inbreng van enkele deskundigen, het rapport “Assurance: beoordelen veiligheid (web)applicaties en IT-organisaties” samengesteld om met de markt zijn opgedane kennis te delen.
Doelgroep rapport
Hoewel dit rapport een behoorlijk aantal min of meer technische termen bevat is het rapport met nadruk bedoeld voor adviseurs van ondernemers, zoals eigenaren en medewerkers van accountants- en administratiekantoren, waaronder ook hun systeembeheerders. Enerzijds omdat zij ook gebruiker zijn van (web)applicaties en zeker niet in de laatste plaats omdat zij met enige regelmaat ondernemers van advies dienen als het gaat om het gebruik van (web)applicaties. Steeds meer accountants- en administratiekantoren werken online met klanten samen en maken dus dagelijks gebruik van (web)applicaties. Begrippen als informatiebeveiliging, SQL-injectie en penetratietest komen dan aan de orde. Met dit rapport willen we ook genoemde adviseurs van dergelijke begrippen op de hoogte brengen en de context aangeven waarin deze begrippen zijn geplaatst.
Standaarden
In het rapport komende de volgende standaarden aan de orde:
- ISO / IEC 27001
De ISO / IEC 27001 standaard is ongetwijfeld de meest bekende standaard als het gaat om het beoordelen van IT-organisaties en de ontwikkeling en beheer van applicaties. ISO / IEC 27001 is de specificatie voor een ISMS, een “Information Security Management System”. Het is dus een standaard voor informatiebeveiliging. ISO / IEC 27001 is eveneens een certificeringsstandaard waar veel IT-organisaties gebruik van maken en dat ook tonen via hun website en/of andere uitingen.
De auditor die de certificering van ISO27001 doet, verifieert de werking van het ISMS. Onderdeel van het ISMS is de ‘Deming Cycle’: plan, do, check, act (PDCA). Dit zorgt voor een constante leercyclus, waarin de lessen uit de vorige cyclus als input dienen voor de volgende cyclus.
In de regel wordt bij een ISO / IEC 27001 certificering de applicatie zelf niet door de auditor ‘doorgezaagd’. De auditor controleert wel of er een mechanisme aanwezig is, die er structureel voor zorgt voor verbetering, middels de PDCA cyclus. Dit moet aangetoond worden met bewijsstukken, zoals bijvoorbeeld een incidentenregister, waaruit registratie en opvolging van incidenten blijkt.
- ISO 27002
ISO 27002 wordt als gedetailleerder beschouwd dan ISO / IEC 27001. De ‘controls’ in ISO 27002 hebben dezelfde naam als in een bijlage van ISO / IEC 27001. Het verschil zit is dat ISO / IEC 27001 generiek van aard is. ISO27002 voorziet in een meer praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatie. Als het ware een praktische invulling van ‘how to’.
Zoals eerder gemeld definieer ISO / IEC 27001 formeel de verplichte vereisten voor een Information Security Management System (ISMS). ISO / IEC 27001 maakt gebruik van ISO / IEC 27002 om geschikte informatiebeveiligingscontroles binnen het ISMS uit te werken. ISO 27002 is slechts richtinggevend en geen certificeringsnorm, zoals ISO / IEC 27001. Organisaties zijn vrij om andere standaarden c.q. richtlijnen te selecteren en te implementeren. In de praktijk hanteren de meeste organisaties die ISO / IEC 27001 toepassen, ook ISO 27002. Maar in plaats van dit laatste kunnen bijvoorbeeld ook OWASP gevolgd worden dat hierna nog aan de orde komt.
- OWASP
Het Open Web Application Security Project (OWASP) is een wereldwijde non-profit organisatie die zich richt op het verbeteren van de beveiliging van software. Met als missie is om softwarebeveiliging zichtbaar te maken, zodat individuen en organisaties weloverwogen beslissingen kunnen nemen. OWASP verstrekt, onpartijdige, praktische informatie over applicatie security (AppSec) aan individuen, bedrijven, universiteiten, overheidsinstellingen en andere organisaties wereldwijd.
OWASP opereert als een gemeenschap van gelijkgestemde professionals en geeft softwaretools en op kennis gebaseerde documentatie over applicatiebeveiliging uit. In tegenstelling tot de hiervoor behandelde ISO / IEC 27001 en ISO 27002 is bij OWASP sprake van OpenSource. Iedereen is vrij om deel te nemen aan OWASP.
OWASP Top 10 Most Critical Web Application Security Risks
De OWASP Top 10 is een krachtig bewustmakingsdocument voor beveiliging van webapplicaties. Het vertegenwoordigt een brede consensus over de meest kritieke veiligheidsrisico's voor webapplicaties. Een verscheidenheid aan beveiligingsexperts van over de hele wereld hebben hun expertise gedeeld om deze lijst te maken. De acceptie van de OWASP Top 10 is misschien wel de meest effectieve eerste stap om de cultuur voor softwareontwikkeling binnen een organisatie te veranderen in een cultuur die veilige code produceert. De volledige top 10 komt in het rapport zelf aan de orde, voorzien van enkele voorbeelden.
De OWASP richtlijnen worden onder andere toegepast bij de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC).
- SANS
Het SANS Instituut en het Center For Internet Security hebben hun krachten gebundeld met de Amerikaanse overheid om een lijst met best practices voor cyberbeveiliging op te stellen die het meest effectief zijn. Deze lijst (momenteel versie 6.1) bevat veel nuttige praktische tips, variërend van firewalls tot veilige ontwikkeling.
SANS is tevens een omvangrijke bron voor informatiebeveiligingstrainingen overal ter wereld. Voor iedereen die interesse heeft of betrokken is bij cybersecurity is een bezoek aan de website van SANS zeker aan te bevelen. Specifiek voor ontwikkelaars is de “Top-25 van Software Errors” interessant.
- COBIT
Sjoerd Olde Bijvank, House of Control, heeft een heldere uitgebreide bijdrage geleverd over Cobit.
Cobit staat voor Control Objectives for Information and related Technology. Cobit is vanaf 1992 ontwikkeld door het Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI).
Cobit is een raamwerk waarmee je een IT-organisatie effectief en efficiënt mee kan inrichten of een bestaande IT-organisatie kan doorlichten. Cobit is gericht op de strategie, besturing en beheersing van de IT-processen. Met behulp van COBIT kun je bepalen of de IT-organisatie 'in control' is. COBIT voorziet het management en auditors van een lijst met maatregelen op basis waarvan ze sturing aan de IT-organisatie kunnen geven. Waarbij Cobit de kloof overbrugd tussen de business, informatiemanagement en de IT-organisatie.
Cobit 5 staat momenteel vooral in de belangstelling doordat Cobit 5 bij uitstek geschikt is om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgeving zoals die door Sarbanes-Oxley (SOX) en COSO (Committee of Sponsoring Organizations of the Treadway Commission) worden voorgeschreven.
- ISAE 3402
ISAE (International Standards for Assurance Engagements) 3402 en ISAE 3000 zijn beide standaarden van “International Federation of Accountants” (IFAC). Beide standaarden zijn gericht op uitbesteding aan service organisaties. ISAE 3000 is de standaard voor zekerheid over uitbesteding betreffende niet-financiële informatie. ISAE 3402 vult ISAE 3000 aan en is gericht op financiële verslaggeving die is uitbesteed (aan een service organisatie).
ISAE 3402 wordt ook wel een “Auditor to auditor” rapportage genoemd. Bijvoorbeeld een accountant die een (financiële) audit uitvoert, voor een organisatie die werkzaamheden heeft uitbesteed aan een service organisatie, kan een gespecialiseerde auditor vragen een audit uit te voeren op basis van ISAE 3402 bij betreffende service organisatie wat betreft uitbestede financiële bedrijfsprocessen.
ISAE 3402 is momenteel de geaccepteerde "standaard" voor rapportage over controles bij serviceorganisaties. In Nederland wordt het normenkader van ISAE 3402 toegepast door zowel de Norea (als Richtlijn 3402) en de NBA (als Standaard 3402).
- SOC
Wil Ehren, IT Risk Control, heeft een heldere bijdrage geleverd over SOC.
Het hiervoor behandelde ISAE 3402 is in de accountancy alom bekend. Minder bekend maar in toenemende mate van belang en specifiek voor IT Service Organisaties worden “Service Organization Control (SOC) reports” ingezet. SOC is afkomstig van de Amerikaanse beroepsorganisatie van accountants - AICPA (American Institute of Certified Public Accountants).
Organisaties die IT-diensten hebben uitbesteed, variërend van IT-housing tot cloud computing, en die assurance over de uitbestede gegevensverwerking nodig hebben vragen hun IT-serviceorganisaties meestal specifiek om de hiervoor behandelde rapporten volgens NOREA-richtlijn 3402 (of Standaard 3402 NBA). De reden hiervoor is dat ze bekend zijn met dit type rapportage en/of omdat anderen (bijvoorbeeld de accountant) daarop aandringen.
Dit stelt IT-serviceorganisaties voor een dilemma. Ze willen enerzijds tegemoetkomen aan de vraag van hun klanten, die niets anders wensen te ontvangen dan een 3402-rapportage. Maar anderzijds beseffen ze dat er essentiële inhoudelijke kwaliteitsaspecten van de dienstverlening zijn die niet kunnen worden afgedekt door een 3402-rapport. Zijnde security aspecten. Dit betreft met name beveiliging, beschikbaarheid en databescherming.
Sinds de lancering van SOC 2 kunnen zij dit dilemma oplossen door de auditor te vragen een assurance-rapport op basis hiervan af te geven.
In het rapport wordt ingegaan op drie rapportagetypen, te weten: SOC 1, SOC 2 en SOC 3. Waarbij deze laatste tevens een certificaat kent en bijbehorend logo om het behalen van het certificaat kenbaar te maken aan het brede publiek.
- NCSC ICT-Beveiligingsrichtlijnen
De hiervoor genoemde standaarden en richtlijnen zijn allemaal internationaal van aard. De ICT-Beveiligingsrichtlijnen, uitgegeven door het Nationaal Cyber Security Centrum (NCSC) zijn voor een deel gebaseerd op eerder behandelde standaarden (zoals OWASP), afgestemd op de Nederlandse markt en in het Nederlands beschikbaar.
Door het NCSC zijn meerdere ICT-Beveiligingsrichtlijnen uitgegeven die openbaar (en gratis) beschikbaar zijn. Voor dit rapport beperken we ons nu tot:
1) ICT-Beveiligingsrichtlijnen voor Webapplicaties (versie 2015);
2) ICT-Beveiligingsrichtlijnen voor mobiele apps.
Wij kunnen deze richtlijnen van harte aanbevelen en zien de ICT-Beveiligingsrichtlijnen van NCSC als dé standaard in Nederland.
- Data Pro Code
NLdigital heeft in samenwerking met haar leden de Data Pro Code ontwikkeld: een concrete invulling van de eisen van de Avg. Deze gedragscode is specifiek voor verwerkers (data processors). Dit zijn ICT-bedrijven die in opdracht van een ander data verwerken.
De Data Pro Code is een nadere uitwerking van de verplichtingen voor data processors (verwerkers) op grond van artikel 28 Avg en is van toepassing op verwerkingen in Nederland. De Data Pro Code geeft concrete gedragsregels voor verwerkers. De kern daarvan vormen de informatieplichten voor de data processor en de verantwoording door middel van toezicht.
AVG
De Algemene verordening gegevensbescherming (AVG) is de Nederlandse implementatie van de General Data Protection Regulation (GDPR) en is op 25 mei 2018 in werking getreden en vervangt de hiervoor genoemde EU-privacyrichtlijn uit 1995. De Wbp komt dan ook te vervallen, net als nationale privacywetten van de andere EU-lidstaten.
De AVG voegt een nieuw recht toe voor personen, te weten: het recht op dataportabiliteit. Oftewel overdraagbaarheid van persoonsgegevens. Dit laatste geeft betrokkenen het recht om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Dat gaat dus duidelijk verder dan alleen maar inzien.
En heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Dan zijn u en de verwerker volgens de AVG verplicht om een aantal onderwerpen vast te leggen in een schriftelijke “verwerkersovereenkomst” (conform artikel 28, lid 3 van de AVG). Geheimhouding en beveiliging spelen hierbij een belangrijke rol. En de al bestaande meldplicht datalekken is binnen de AVG nog wat verder aangescherpt.
Gerelateerde onderwerpen
In het rapport komen verder gerelateerde onderwerpen aan de orde, zoals: webapplicatie penetratietest, functioneel beoordelen applicaties en de wet gegevensverwerking en meldplicht cybersecurity. Ook komen enkele conclusies en aanbevelingen aan de orde. Voor een verdiepingsslag wordt zoveel mogelijk naar gehanteerde bronnen en gerelateerde websites verwezen.
Complete rapport
Het complete (42 pagina's) tellende rapport “Assurance: beoordelen veiligheid (web)applicaties en IT-organisaties” kent de volgende inhoudsopgave:
- Inleiding
- Standaarden
2.1 ISO / IEC 27001
2.2 ISO 27002
2.3 OWASP
2.4 SANS
2.5 COBIT
2.6 ISAE 3402
2.7 SOC
2.8 NCSC ICT-Beveiligingsrichtlijnen
2.9 Data Pro Code
- Gerelateerde onderwerpen
3.1 Webapplicatie penetratietest
3.2 Functioneel beoordelen applicaties
3.3 AVG
3.3.1 Inleiding
3.3.2 Verwerkersovereenkomst
3.3.3.Dataportabiliteit
3.3.4 AVG beoordelen
3.4 Capita selecta
- Conclusies en aanbevelingen
- Bronnen
Gratis opvragen rapport
Naar opvragen complete rapport "Assurance: beoordelen veiligheid (web)applicaties en IT-organisaties”.
Suggesties die het rapport kunnen verbeteren zijn altijd welkom en kunnen gemaild worden aan gerard@gbned.nl.
|
